Die jährliche Übung Defence Cyber Marvel testet in einem realitätsnahen Szenario die Fähigkeiten der Teilnehmenden, potenzielle Cyberangriffe gegen verbündete Streitkräfte einzudämmen und zu stoppen. Teambuilding und Kommunikationswege spielen dabei eine zentrale Rolle.
Die Übung Defence Cyber Marvel (DCM) ist eine von der britischen Army Cyber Association organisierte multinationale Live-Fire-Cybersicherheitsübung, bei der die Teilnehmenden in Echtzeit ihre fachlichen Kompetenzen in einem sich stetig verändernden und immer stärker eskalierenden asymmetrischen Szenario unter Beweis stellen müssen. Ein deutsches Team ist seit 2023 mit dabei.
Die Übung wird zentral aus Singapur gesteuert, die Range, also die virtuelle Umgebung, aus Tallin (Estland), wobei die meisten Teams remote aus ihren Heimatländern teilnehmen. Viele davon bestehen schon länger, haben feste Strukturen und sind somit aufeinander eingespielt. Das bunt gemischte 19-köpfige deutsche Blue Team ist eines der wenigen Joined-Teams: Es besteht aus Angehörigen der Cyber-Reserve, der „Speerspitze“, sowie aus Studierenden der Universität der Bundeswehr München. Die studierenden Offiziere engagieren sich alle in der Interessengemeinschaft Cyber an ihrer Universität. Diese Gruppe hat neben den fachlichen Aufgaben die zusätzliche Herausforderung, zunächst Teamstrukturen zu bilden und den Workflow aufzubauen. Dieses Jahr übernimmt ein Student des Blue Teams die Führung und ein Reservedienstleistender ist sein Stellvertreter. Aus dem Reachback, also dem Heimatstandort am Forschungsinstitut CODE (FI CODE) in München, greifen die Teilnehmenden auf die Übungsumgebung zu.
Die DCM ist eine multinationale Übung, die den Teilnehmenden die Möglichkeit bietet, ihre fachlichen Kenntnisse im Bereich der Cybersicherheit zu vertiefen: Sie können Fähigkeiten und Verfahren zur Verteidigung nationaler ITInformationstechnik-Systeme und kritischer Infrastruktur in Echtzeit in einem Team trainieren und verbessern. Daneben steht das Teambuilding im Vordergrund: Um gemeinsam Lösungen zu finden, ist nicht allein eine reibungslose Kommunikation innerhalb des Teams unerlässlich. Die weitere Herausforderung besteht darin, die fachlichen Fähigkeiten der einzelnen Mitglieder geschickt zu kombinieren, um die Übung erfolgreich zu bewältigen.
„Die Defence Cyber Marvel ist – wie Griffin Warrior und Cyber Phoenix – ein essenzieller Bestandteil der Ausbildung beziehungsweise Inübunghaltung der Speerspitze.“
Die fünfte Defence Cyber Marvel fand vom 5.bis 13. Februar 2026 statt und konzentrierte sich auf die Verteidigungsfähigkeit der Blue Teams gegen realitätsnahe Cyberangriffe des Red Teams. Die diesjährige Übung war dabei bewusst an reale Cyberangriffe aus dem russischen Angriffskrieg gegen die Ukraine angelehnt.
Im Übungsszenario wurden die Teilnehmenden in die Rolle von Krisenreaktionskräften versetzt, die nach Eintritt eines akuten Cyber-Notfalls eingreifen müssen. Der Fokus lag auf dem Schutz kritischer Infrastrukturen und Systeme des Gastlandes – insbesondere jener, welche die Zivilgesellschaft stützen. Als Gegner trat die Sunda Baru Federation auf, eine fiktive Koalition aus acht Provinzen Indonesiens und Malaysias. Auf der Partnerseite kämpften im Szenario fünf malaysische Provinzen gemeinsam mit internationalen Verbündeten für die Verteidigung der digitalen Souveränität.
Das gesamte Übungsszenario spielte sich im indopazifischen Raum ab – einer geostrategisch hochsensiblen Region, die durch politische Spannungen, territoriale Konflikte und wirtschaftliche Bedeutung geprägt ist. Der Bereich erstreckt sich von den Kurilen im Norden über Taiwan und Nordkorea bis hin zu den pazifischen Inselstaaten. Besonders das Südchinesische Meer zählt zu den weltweit meistbefahrenen Seewegen und ist eine zentrale Handelsachse für die globale Wirtschaft. Jede Störung der Logistik in dieser Region hätte unmittelbare und weitreichende Auswirkungen auf die weltweite Wirtschaft – was die Cyberabwehr für militärische und wirtschaftliche Akteure gleichermaßen zu einer Priorität macht.
Die Angriffe wurden von den Yellow und Green Teams auf der virtuellen Cyber Range gesteuert und simulierten realistische, mehrschichtige Cyber-Operationen.
Das verteidigende Team in Übungen der ITInformationstechnik-Sicherheit wird „Blue Team“ genannt. Dieses muss seine ITInformationstechnik-Systeme je nach Übung in Echtzeit gegen Tausende von simulierten Angriffen verteidigen, Schäden beheben und kompromittierte Systeme gegebenenfalls wiederherstellen. Dazu bedient sich das Team der gleichen Mittel und Methoden, die es auch außerhalb der Simulationsumgebung einer Cyber Range anwendet. Das Blue Team kann aus unterschiedlichen Fachleuten zusammengestellt sein – mit unterschiedlichen Spezialisierungen, Dienstgraden und Nationalitäten. Die Anzahl der Teammitglieder variiert zwischen 10 und 25 Personen.
Das angreifende Team in einer Übung im Cyber- und Informationsraum wird „Red Team“ genannt. Auch außerhalb einer Simulationsumgebung testen zum Beispiel Unternehmen mit eigenen Red Teams ihre ITInformationstechnik-Sicherheit. Das Red Team hat nur ein Ziel: die in einer Cyber Range virtualisierten Systeme des Blue Teams anzugreifen, zu übernehmen, zu manipulieren oder unbrauchbar zu machen. Dies geschieht bei der Übung DCM in Echtzeit und mit Mitteln und Methoden, wie sie auch echte gegnerische Kräfte anwenden (Live Fire). Das Red Team umfasst rund 50 Personen.
Diese Teams sind zusammen verantwortlich für das Übungsmanagement und -szenario. Der Realismus des virtuellen Gefechtes wird dabei von der Abteilung für das Militärische Nachrichtenwesen beigesteuert, welcher das virtuelle Gefechtsfeld auf der Cyber Range im militärischen Gesamtkontext noch realitätsnaher wirken lässt.
Eine Cyber Range ist eine virtuelle, kontrollierte und interaktive Simulationsumgebung, in der Cybersicherheitspersonal in Echtzeit übt, Angriffe im Cyber- und Informationsraum abzuwehren. In einer Cyber Range werden Arbeitsplätze, Mittel und Bedingungen wirklichkeitsnah gehalten. Realistisch trainieren ist das oberste Gebot. Die eigenen Cyberfertigkeiten zur Abwehr und zum Angriff werden in der Cyber Range gefordert und geprüft. Eine Cyber Range kann als Truppenübungsplatz des Cyberraums verstanden werden. Wie auf physischen Schießbahnen üben die ITInformationstechnik-Spezialistinnen und -Spezialisten der Teilstreitkraft CIRCyber- und Informationsraum hier den „scharfen Schuss“ – nur eben virtuell.
In der kontrollierten Umgebung einer Cyber Range werden in Echtzeit reale Angriffs- und Abwehrmethoden im und aus dem Cyber- und Informationsraum durch das Red und Blue Team live durchgeführt. Die Echtzeitangriffe bezeichnet man daher auch als „live fire“. Solche Angriffe auf virtualisierte Systeme können die gleichen Auswirkungen wie auf Einrichtungen in der echten Welt haben. Während der DCM waren das unter anderem Folgen für kritische Infrastruktur – KRITISKritische Infrastrukturen – beispielsweise die Strom- und Wasserversorgung.
Die Speerspitze Cyber-Reserve ist ein spezialisierter Teilbereich der Cyber-Reserve der Bundeswehr, der als hochreaktionsfähige Experteneinheit konzipiert ist. In ihr sind hochqualifizierte ITInformationstechnik-Spezialisten aus der Privatwirtschaft organisiert, die ihr Fachwissen (z. B. in Forensik oder Malware-Analyse) gezielt für die nationale Cyberverteidigung einbringen.
